Trinkwassertechnik Wärme- & Energieversorgung

Hack Protect schließt IT-Sicherheitslücken von Infrastruktureinrichtungen5 min read

10. Feber 2020, Lesedauer: 3 min

Hack Protect schließt IT-Sicherheitslücken von Infrastruktureinrichtungen5 min read

Lesedauer: 3 Minuten

Dank der Errungenschaften der Technik ist vieles bequemer und zeiteffizienter geworden – auch der Betrieb von Infrastruktureinrichtungen wie Trinkwasseraufbereitungsanlagen oder Klärwerke.

Doch der durch die Digitalisierung komfortabler gestaltete Betrieb hat einen Haken: Die zunehmend mit dem Internet verbundenen Anlagen gewähren nur allzu oft digitale Schlupflöcher, die Hacker ausnutzen können. Von Betriebsspionage über die Implementierung von Viren bis hin zu Sabotage ist den Cyber-­Kriminellen vieles möglich. Mit dem neuen Schubert Hack Protect-Paket wird diesen Absichten ein wirkungsvoller Riegel vorgeschoben.

Und plötzlich ging gar nichts mehr: Der Cyberangriff am 23. Dezember 2015 in der westukrainischen Region Iwano-Frankiwsk traf 30 Umspannwerke gleichzeitig und kappte die Stromversorgung für 225.000 Menschen. Es dauerte Stunden, bis der Regelbetrieb wieder hergestellt werden konnte.

Reale Bedrohung
„Wir lesen zwar über solche Zwischenfälle, gehen aber rasch wieder zur Tagesordnung über“, kommentiert IT-Sicherheitsexperte FH-Prof. Thomas Brandstetter vom Unternehmen Limes Security die öffentlichen Reaktionen darauf. „Die Ukraine ist weit entfernt, wir haben höhere technische Standards und sind zu unbedeutend für breite Cyberangriffe, so die landläufige Meinung. Dabei wird leicht vergessen, dass auch bei uns die Anzahl der Kaperungsversuche fremder Netze und Steuerungseinrichtungen deutlich im Steigen begriffen ist.“ Für ihn ist Österreich schon längst keine Insel der Seligen mehr: „Nur weil noch nichts Gravierendes passiert ist und nur wenig darüber in den Zeitungen steht, heißt das nicht, dass die Bedrohungen nicht schon real wären.“ Die Hacker sind bestens organisiert, kundschaften vor ihren Angriffen alle verfügbaren Informationen über ihr Angriffsziel aus und starten ihre Zugriffe auf interne Steuerungsnetze schon weit vor den eigentlichen Attacken. Umso wichtiger ist es daher, interne Netze mit innovativen und laufend nachjustierbaren Abwehrmaßnahmen robust zu machen und damit der grassierenden Cyberkriminalität die Lust auf Abenteuer zu verderben.

Erfassung des Ist-Zustandes
„Wir haben in den letzten Jahren intensiv daran gearbeitet, ein umfassendes und mehrstufiges Schutzpaket gegen Attacken aus dem Netz aufzubauen“, stellt Senior IT-Security-­Techniker Ing. Stefan Karner, BSc, die Antwort von Schubert Elektroanlagen gegen die steigenden Bedrohungen aus dem Netz vor. „Wir nutzen dabei unseren riesigen ­Erfahrungsschatz aus der jahrzehntelangen Planung und Umsetzung von Energieversorgungs- und Steuerungssystemen bei Infra­strukturprojekten. Wir kennen alle Schwachstellen ganz genau und wissen auch, wie wir diese wirkungsvoll schützen müssen.“ Ergebnis dieser Anstrengungen ist das Schubert Hack Protect-Paket, das in Zusammenarbeit mit erfahrenen IT- und Sicherheitsexperten entwickelt und unter Extrembedingungen auf seine Praxistauglichkeit getestet wurde. Die Basis bildet dabei eine umfassende Erhebung des Ist-Zustandes der Anlage mit einer detaillierten und aktuellen Risiko- und Gefahrenanalyse. „Wir setzen uns dazu mit dem jeweiligen Kunden in Verbindung und vereinbaren einen Lokalaugenschein“, skizziert Ing. Stefan Karner den Start der Mission. „Wir erheben dabei, welche Komponenten verbaut sind, analysieren die Netzwerkstruktur und leiten daraus alle potenziellen Gefahren sowohl aus dem Cyberspace als auch aus der realen Welt ab. Daraus ergibt sich dann, welcher individuelle Schutzbedarf gegeben ist.“ Im nachfolgenden Gespräch mit dem Kunden werden dann die Erkenntnisse aus dieser Zustandserhebung detailliert besprochen und gemeinsam die jeweiligen Anforderungsprofile entwickelt. „Diese Abstimmungsrunde soll bewusst auch auf Wünsche unseres Kunden eingehen“, fasst Ing. Stefan Karner die Anspruchshaltung an diese Gespräche zusammen. „Ziel ist es, dass wir gemeinsame Lösungen entwickeln.“

Integrativer Schutzansatz
Stufe II des Schubert Hack Protect-Paketes startet mit der Erstellung eines maßgeschneiderten Schutzkonzeptes, das auf der vorhergegangenen Risiko- und Gefahrenanalyse basiert. „Unser Ansatz ist mehrschichtig aufgebaut und berücksichtigt dabei alle Hauptebenen: die vorhandene Hardware, den Risikofaktor Mensch und die aktuelle Software- und Steuerungskonfiguration.“ Laut Ing. Stefan Karner vergesse man nämlich gerne gerade die ersten beiden Ebenen. „Viele Probleme entstehen aber erst dann, wenn Personen zur falschen Zeit auf einen falschen Knopf drücken.“ Daher räumt das Schubert Hack Protect-Konzept auch dem Objektschutz und der Schulung der Mitarbeiter eine zentrale Rolle ein. Auch die Schutzkonzeption im Software-Bereich folgt dem mehrschichtig aufgebauten Lösungsansatz: Dabei konzentriert sich die Betrachtung nicht nur auf die Kernfunktionen wie die Datenübertragung via IEC-Protokolle, sondern auf sämtliche verwendeten Protokolle. „Zumeist gehen Risikobetrachtungen viel zu wenig in die Tiefe und vernachlässigen jene Bereiche, die z.B. zum Programmieren der Steuerung oder zur Zeit-Synchronisation dienen“, warnt Ing. Karner vor zu oberflächlichen Schutzansätzen. „Auch durch solche Protokolle kann ein System negativ beeinflusst werden und bietet Hackern eine breite Spielwiese.“

Nachhaltige Sicherheit
Um nachhaltige Sicherheit zu garantieren, sind laufende Anpassungen des Abwehrschirmes wesentlich. „Unser Schubert Hack Protect-Konzept umfasst daher auch einen Service-Vertrag, der alle in den Netzwerken verbauten Komponenten einer Anlage erfasst“, weist Ing. Stefan Karner auf laufende Nachjustierungen hin. „Das betrifft nicht nur die Hard-, sondern auch die Software. Man vergisst nämlich sehr leicht, dass in Kraftwerken, Kläranlagen und Trinkwasseraufbereitungsanlagen nicht nur alle mechanischen Teile, sondern auch die Steuerungsprogramme periodisch zu warten sind.“ Ein Virenscanner sei dafür viel zu eindimensional, weil er nur jene Bedrohungen erkenne, die er via Signatur-Updates erkenne. Eine wichtige Aufgabe sei auch die ständige Überwachung der Komponenten und ihres Zusammenspiels untereinander. „Auch hier ist es wichtig, dass ein funktionierendes Schutzkonzept nicht nur die oberflächlichen Steuerungsprozesse, sondern vor allem auch das dahinterliegende Netzwerk beobachtet“, verweist Ing. Karner auf den integrativen Betrachtungsansatz. „Dadurch können Ausfälle verkürzt oder gar verhindert werden. Denn je mehr Informationen aus dem Netzwerk verfügbar sind, desto rascher kann man auch zukünftige Fehlerquellen erkennen und beseitigen.“

Vorbeugendes Krisenmanagement
Trotz aller Vorkehrungen bleibt ein hundertprozentiger Schutz aber eine Illusion. „Das Schubert Hack Protect-Konzept beinhaltet auch die laufende Erstellung und Überprüfung von Backups zur schnellstmöglichen Wiederherstellung von Systemen“, legt Ing. Karner Wert auf institutionalisierte Vorkehrungen für den Ernstfall. Und er erinnert in diesem Zusammenhang daran, dass die Ursache einer Krise nicht unbedingt ein Hackerangriff, sondern z.B. auch ein Blitzschlag sein kann.

Teilen: